Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP 9.6以降でNVEのオンボードキー管理を有効にする

共同作成者 netapp-barbe netapp-aoife netapp-aaron-holt netapp-aherbin netapp-ahibbard netapp-thomi netapp-bhouser netapp-dbagwell
PDF

オンボード キー マネージャを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。オンボード キー マネージャは、暗号化されたボリュームや自己暗号化ディスクにアクセスする各クラスタで有効にする必要があります。

タスク概要

クラスターにノードを追加するたびに、 `security key-manager onboard sync`コマンドを実行する必要があります。

MetroCluster構成がある場合は、まずローカルクラスタで `security key-manager onboard enable`コマンドを実行し、次にリモートクラスタで `security key-manager onboard sync`コマンドを実行する必要があります。その際、各クラスタで同じパスフレーズを使用してください。ローカルクラスタで `security key-manager onboard enable`コマンドを実行し、その後リモートクラスタで同期する場合は、リモートクラスタで `enable`コマンドを再度実行する必要はありません。

`security key-manager onboard enable`および `security key-manager onboard sync`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-key-manager-onboard-enable.html["ONTAPコマンド リファレンス"^]をご覧ください。

デフォルトでは、ノードの再起動時にキーマネージャのパスフレーズを入力する必要はありません。 `cc-mode-enabled=yes`オプションを使用すると、再起動後にユーザーにパスフレーズの入力を求めることができます。

NVE の場合、 `cc-mode-enabled=yes`を設定すると、 `volume create`コマンドと `volume move start`コマンドで作成したボリュームは自動的に暗号化されます。 `volume create`の場合、 `-encrypt true`を指定する必要はありません。 `volume move start`の場合、 `-encrypt-destination true`を指定する必要はありません。

ONTAP保存データ暗号化を設定する場合、Commercial Solutions for Classified(CSfC)の要件を満たすには、NSEとNVEを使用し、オンボードキーマネージャがCommon Criteriaモードで有効になっていることを確認する必要があります。"CSfC解決策概要"を参照してください。

メモ

オンボード キー マネージャーが Common Criteria モード(`cc-mode-enabled=yes`で有効になっている場合、システムの動作は次のように変更されます:

  • Common Criteriaモードでは、クラスタ パスフレーズの連続入力エラーが監視されます。

    クラスタパスフレーズの入力に5回失敗した場合は、24時間待つか、ノードをリブートして制限をリセットします。

  • システム イメージの更新では、通常のNetAppのRSA-2048コード署名証明書とSHA-256のコード署名ダイジェストではなく、NetAppのRSA-3072コード署名証明書とSHA-384のコード署名ダイジェストを使用してイメージの整合性がチェックされます。

    アップグレードコマンドは、様々なデジタル署名をチェックすることで、イメージの内容が変更または破損していないことを確認します。検証が成功した場合、システムはイメージ更新プロセスの次のステップに進みます。検証が失敗した場合、イメージ更新は失敗します。 `cluster image`の詳細については、"ONTAPコマンド リファレンス"をご覧ください。
メモ オンボードキーマネージャーは、キーを揮発性メモリに保存します。揮発性メモリの内容は、システムの再起動または停止時に消去されます。システムは停止後、30秒以内に揮発性メモリを消去します。
開始する前に

  • このタスクを実行するには、クラスタ管理者である必要があります。

  • オンボード キー マネージャを設定する前に、MetroCluster環境を設定する必要があります。

手順

  1. キー管理ツールのセットアップを開始します。

    security key-manager onboard enable -cc-mode-enabled yes|no

    メモ 
    `cc-mode-enabled=yes`を設定して、再起動後にユーザーが認証キーマネージャーのパスフレーズを入力するように要求します。NVEの場合、 `cc-mode-enabled=yes`を設定すると、 `volume create`コマンドと `volume move start`コマンドで作成したボリュームが自動的に暗号化されます。 `- cc-mode-enabled`オプションはMetroCluster構成ではサポートされていません。 `security key-manager onboard enable`コマンドは `security key-manager setup`コマンドに置き換えられます。

  2. 32文字から256文字までのパスフレーズを入力します。"`cc-mode`"の場合は64文字から256文字までのパスフレーズを入力します。

    メモ

    指定された「cc-mode」パスフレーズが64文字未満の場合、キー マネージャーのセットアップ操作でパスフレーズ プロンプトが再度表示されるまでに5秒の遅延が発生します。

  3. パスフレーズの確認のプロンプトでパスフレーズをもう一度入力します。

  4. 認証キーが作成されたことを確認します。

    security key-manager key query -key-type NSE-AK

    メモ 
    `security key-manager key query`コマンドは `security key-manager query key`コマンドに置き換わります。
    		 
    `security key-manager key query`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-key-manager-key-query.html["ONTAPコマンド リファレンス"^]をご覧ください。

  5. オプションで、プレーンテキストボリュームを暗号化されたボリュームに変換できます。

    volume encryption conversion start

    ボリュームを変換する前に、オンボード キー マネージャの設定を完了している必要があります。MetroCluster環境では、両方のサイトでオンボード キー マネージャを設定する必要があります。

終了後の操作

あとで使用できるように、ストレージ システムの外部の安全な場所にパスフレーズをコピーしておきます。

オンボードキーマネージャのパスフレーズを設定したら、その情報をストレージシステム外の安全な場所に手動でバックアップしてください。"オンボード キー管理情報の手動バックアップ"を参照してください。

関連情報